Nachdem Sie ein Profil erstellt und die FireEye-Fähigkeiten ausgewählt haben, die das Profil ausführen soll, konfigurieren Sie die Profileinstellungen so, dass es nur ausgeführt wird, wenn eine Reihe bestimmter Bedingungen erfüllt sind.

Sie können Auslöserbedingungen festlegen, damit das Profil automatisch ausgeführt wird, wenn ein Security Incident erstellt wird, der der Auslöserbedingung entspricht. Wenn die Auslöserbedingung nicht festgelegt ist, können diese Profile manuell ausgeführt werden, indem Sie im Security Incident auf das Formular „EDR-Profil(e) ausführen“ klicken und das Profil auswählen.

Standardmäßig verwendet die Integration das Feld Konfigurationselement (CI) im Security Incident. Dieser Wert wird verwendet, um die IDs Ihrer Assets mit den in der Now Platform-CMDB gespeicherten Informationen abzugleichen. Wenn ein Security Incident erstellt wird und ein Profil entweder automatisch oder manuell ausgeführt wird, wird die CMDB durchsucht, um den Hostnamen und/oder die IP-Adresse basierend auf dem Wert des CI-Felds abzurufen. Der Hostname und oder die IP-Adresse werden verwendet, um die Service Desk-Mitarbeiter-ID aufzulösen FireEye HXUm den Endpunkt zu identifizieren.

Im Idealfall wird ein übereinstimmender Wert in der Datenbank gefunden, und Daten werden aus gesammelt FireEye HXKonsole für das übereinstimmende Asset. Die Daten für verschiedene Fähigkeiten werden in Ihre Now Platform-Instanz abgerufen und in den zugehörigen Listen eines Security Incidents angezeigt. Wenn das Feld Konfigurationselement (CI) im Security Incident nicht mit einem Hostnamen oder einer IP-Adresse ausgefüllt ist, die der Datenbank entspricht, können Sie ein alternatives Feld für den Security Incident auswählen, das entweder den Hostnamen oder die IP enthält, um die Lösung der Agenten-ID durchzuführen.

Während des Konfigurationsschritts des Profil-Setups können Sie ein alternatives CI-Feld für die Endpunktidentifizierung auswählen, um sicherzustellen, dass Sie den Endpunkt identifizieren können FireEye HX. Sie können jedes Feld im Security Incident als alternatives CI-Auslöserfeld auswählen, einschließlich anwenderdefinierter Felder, die Sie erstellen. Indem Sie dieses alternative CI-Feld als Sicherung auswählen, stellen Sie sicher, dass Ihre Profile auch dann ausgeführt werden, wenn das CI-Feld bei der Incident-Erstellung nicht im zugehörigen Security Incident ausgefüllt ist.

Hinweis:

Die alternativen CI-Felder werden nur für Fähigkeiten berücksichtigt, die einem Profil hinzugefügt werden könnten. Für alle zusätzlichen Aktionen wird das alternative CI auf der Standardeinstellungsseite ausgewählt.